Сучасна кіберзлочинність використовує стратегії, схожі на хмарні або віддалені служби, з комерційними партнерствами між різними командами. Остання операція злочинного програмного забезпечення спрямована на компрометацію маршрутизаторів і перетворення їх на проксі-ботів.
Як повідомляє Tech Spot, дослідники з Black Lotus Labs виявили нову зловмисну кампанію, пов’язану з оновленою версією TheMoon сімейства зловмисних програм, вперше ідентифікованого 10 років тому.
Останній варіант TheMoon був розроблений для компрометації незахищених домашніх маршрутизаторів та інших пристроїв IoT, які потім використовуються для маршрутизації злочинного трафіку через комерційний проксі-сервіс, відомий як Faceless.
Як пояснюють аналітики Black Lotus, ботнет TheMoon працював «тихо», скомпрометувавши понад 40 тисяч пристроїв із 88 країн світу у перші 2 місяці 2024 року.
Нова кампанія почалася в перший тиждень березня і була зосереджена на компрометації маршрутизаторів Asus. Менш ніж за 72 години зловмисне програмне забезпечення заразило понад 6 тисяч мережевих пристроїв.
Фахівці Black Lotus не надають подробиць про методи, які використовує зловмисне програмне забезпечення для зараження маршрутизаторів.
Ймовірно, злочинці використовують відомі вразливості, щоб перетворити домашні пристрої на шкідливих ботів. Після зламу маршрутизатора TheMoon шукає певні середовища оболонки для виконання основного зловмисного корисного навантаження.
Корисне навантаження призначене для регулярного видалення вхідного трафіку TCP на порти 8080 і 80, дозволяючи при цьому пакети з певних діапазонів IP. Після перевірки сандбоксу (через трафік NTP) і підключення до інтернету TheMoon намагається підключитися до командного та контрольного центру й запитати інструкції у кіберзлочинців.
Потім зловмисне програмне забезпечення може завантажувати додаткові шкідливі компоненти, зокрема модуль, схожий на черв’яка, здатний сканувати вразливі HTTP-сервери, а також завантажувати файли .sox, які дозволяють скомпрометованому пристрою діяти як проксі.
Більшість маршрутизаторів Asus, заражених останнім варіантом TheMoon, були відображені як боти, що належать Faceless, відомому проксі-сервісу, який використовується для операцій зловмисного програмного забезпечення, таких як IcedID і SolarMarker.
Кіберзлочинці можуть використовувати Faceless для маскування свого зловмисного трафіку, сплачуючи за послугу криптовалютою.
У Black Lotus кажуть, що користувачі можуть захиститися від загроз, використовуючи надійні паролі й оновивши мікропрограму свого мережевого пристрою до останньої доступної версії. Маршрутизатори з вичерпаним терміном експлуатації, такі як маршрутизатори Asus, на які орієнтується TheMoon, слід замінити на новіші моделі.
Читайте також на ProIT: новий набір фішингу для обходу MFA спрямований на облікові записи Microsoft 365 і Gmail.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
